垃圾邮件攻击者如何利用 IP 地址过滤

关键要点

• 攻击者的策略 : 通过 IP 地址范围过滤来延迟被检测。
• 受影响的地区 : 被封锁的 IP 中有41%来自美国。
• 常见被封锁的服务商 : 包括微软、亚马逊和 T-Mobile。
• 信息来源 : Bolster 对 19,000 个钓鱼工具包进行了分析。

研究表明，诈骗者通过过滤特定的 IP 地址范围来隐藏自己，从而推迟被检测的时间。根据 Bolster的研究，这些攻击者会限制哪些用户能够看到恶意页面，而让其他用户访问干净的“合法”页面。他们通过按时区、操作系统或 IP/IP 范围来实施这种过滤。

Bolster 分析了 19,000 个不小心暴露的钓鱼工具包，得出了以下结果：

在被封锁的 IP 和 IP 范围中，最常见的来自亚马逊网络服务 (AWS)。被封锁的主要公司 ISP 包括微软、亚马逊和 T-Mobile。

“为了延长攻击者的 的生命周期，大多数威胁参与者会实施规避技术，以避免被防御者及其情报工具检测到，”Bolster 的市场副总裁 Ryan McCurdy说道。“因此，对攻击者来说，攻击持续足够长的时间以提供投资回报是很重要的。如果只有目标用户能够访问攻击内容，那么安全专业人士就更难检测和报告给责任机构。”

McCurdy 表示，Bolster 的研究团队每天扫描数百万个钓鱼 URL，并通过他们的研究编制了一份可以帮助安全团队对抗钓鱼网站的被封锁 IP 列表。

“我们的研究数据是通过查看黑客曝光的钓鱼工具包源代码而得来的，”McCurdy 说道。“我们提取了被封锁的 IP 地址。这些被封锁的 IP被黑客用作避免他们的钓鱼网站被检测到。通过查看我们的数据和被封锁的 IP 列表，安全专业人士可以将他们的扫描器放置在不在封锁列表的数据中心。”

LARES Consulting 的对抗工程主任 Tim McGuffin补充说，攻击者希望保护其基础设施不受防御者的攻击，并尽可能长时间地保持可用性。McGuffin表示，许多安全公司使用云资源进行沙箱、扫描和识别恶意内容，因此在允许商业和消费者 IP 地址的同时，限制其他云服务（如 和 Azure）的访问是减缓防御者的有效措施。

“按时区和用户代理进行过滤是攻击者保护其基础设施的深度防御方法的额外层，”McGuffin 说。“Bolster的发现具有重要意义，因为它们表明防御变得更好、更积极，迫使攻击者努力保护他们的基础设施，防止被击垮。”