---

网络犯罪分子正在不断优化其网络攻击工具，策略和技术，以逃避垃圾邮件检测系统。

由于一些系统会直接提取邮件中内嵌的链接进行检测，而一种此类URL混淆技术采用了URL主机名部分中使用的编码十六进制IP地址格式来逃避检测。

由于IP地址可以用多种格式表示，因此可以在URL中如下所示使用：

• 点分十进制IP地址：216.58.199.78

• 八进制IP地址：0330.0072.0307.0116（将每个十进制数字转换为八进制）

• 十六进制IP地址：0xD83AC74E（将每个十进制数字转换为十六进制）

• 整数或DWORD IP地址：3627730766（将十六进制IP转换为整数）

单击上面的任何链接会将您定向到指定域名，大多数浏览器也接受这些不同的IP格式。

而近日，有一个专门用制药为主题的钓鱼邮件活动，就专门使用了十六进制代表IP的手法进行攻击。

由于这可能会成为未来的攻击趋势，因此将这个攻击趋势在黑鸟公众号中提一下。

这些钓鱼邮件消息涵盖了广泛的药品，主要是用于胆固醇，抗真菌，抗衰老，抗炎，脑部健康，新陈代谢等方面的药物。该钓鱼邮件僵尸网络最近从7月中旬开始在URL中使用十六进制IP。

攻击流程图如下所示。

邮件如下所示，使用文本超链接进行跳转。

超链接中对应的URL链接如下，使用十六进制IP

使用不同的邮件客户端，这些链接看起来略有不同。例如，使用Thunderbird邮件客户端，将鼠标悬停在文字超链接上，会将它们显示为以状态栏中IP地址开头的URL。

但是，使用微软Outlook邮件客户端，在URL中还是会以十六进制IP形式显示，但是复制和粘贴这些链接到其他地方，才会将其转换为URL中的标准IP格式。

点击上面十六进制链接后的结果