網(wǎng)絡(luò)犯罪分子正在不斷優(yōu)化其網(wǎng)絡(luò)攻擊工具，策略和技術(shù)，以逃避垃圾郵件檢測系統(tǒng)。

　　由于一些系統(tǒng)會直接提取郵件中內(nèi)嵌的鏈接進行檢測，而一種此類URL混淆技術(shù)采用了URL主機名部分中使用的編碼十六進制IP地址格式來逃避檢測。

　　由于IP地址可以用多種格式表示，因此可以在URL中如下所示使用：

　　點分十進制IP地址：216.58.199.78

　　八進制IP地址：0330.0072.0307.0116（將每個十進制數(shù)字轉(zhuǎn)換為八進制）

　　十六進制IP地址：0xD83AC74E（將每個十進制數(shù)字轉(zhuǎn)換為十六進制）

　　整數(shù)或DWORD IP地址：3627730766（將十六進制IP轉(zhuǎn)換為整數(shù)）

　　單擊上面的任何鏈接會將您定向到指定域名，大多數(shù)瀏覽器也接受這些不同的IP格式。

　　而近日，有一個專門用制藥為主題的釣魚郵件活動，就專門使用了十六進制代表IP的手法進行攻擊。

　　由于這可能會成為未來的攻擊趨勢，因此將這個攻擊趨勢在黑鳥公眾號中提一下。

　　這些釣魚郵件消息涵蓋了廣泛的藥品，主要是用于膽固醇，抗真菌，抗衰老，抗炎，腦部健康，新陳代謝等方面的藥物。該釣魚郵件僵尸網(wǎng)絡(luò)最近從7月中旬開始在URL中使用十六進制IP。

　　攻擊流程圖如下所示。

　　郵件如下所示，使用文本超鏈接進行跳轉(zhuǎn)。

　　超鏈接中對應(yīng)的URL鏈接如下，使用十六進制IP

　　使用不同的郵件客戶端，這些鏈接看起來略有不同。例如，使用Thunderbird郵件客戶端，將鼠標懸停在文字超鏈接上，會將它們顯示為以狀態(tài)欄中IP地址開頭的URL。

　　但是，使用微軟Outlook郵件客戶端，在URL中還是會以十六進制IP形式顯示，但是復(fù)制和粘貼這些鏈接到其他地方，才會將其轉(zhuǎn)換為URL中的標準IP格式。

　　點擊上面十六進制鏈接后的結(jié)果