Primero, el patrón de comportamiento que está viendo es probable porque el malware ha detectado que se está ejecutando en un entorno de espacio aislado. El recuento de CPU para su honeypot debería ser mayor que dos, si aún no lo está, porque la mayoría del malware nuevo finaliza automáticamente si hay dos o menos núcleos de CPU disponibles, y los procesos de su honeypot no deberían ser visibles para los atacantes. 'software porque algunos de los mejores programas maliciosos comprobarán si se están ejecutando o instalando honeyd u otros demonios honeypot bien conocidos. Una opción fácil para limitar la visibilidad del proceso / fs es buscar "firejail" y cómo configurar perfiles personalizados. Sugerencia: la salida de strace se puede analizar y agregar a los perfiles de Firejail para ocultar / deshabilitar la lista del sistema de archivos del host y los procesos en ejecución.
En segundo lugar, intente ejecutar un toque de Snort entre su honeypot y su conexión de red para capturar y detectar huellas digitales del tráfico de la red de ataques casi en tiempo real. He tenido buena suerte con el uso de Raspberry Pis para monitoreo de red a bajo costo.
Tercero, considera usar hardware dedicado para tu honeypot para que se vea más como una víctima legítima; busque el término "sistema en un chip" (wiki tiene una lista de fabricante ) para opciones baratas disponibles . El de Intel es el que sugeriría para esto porque la arquitectura se parece mucho al escritorio de una víctima legítima.
Cuarto, busque en la detección del honeypot de Metasploit código fuente para Kippo y otros para hacer Tu honeypot es menos detectable porque quizás hay otras formas inteligentes en que los ataques están detectando su observación.
En quinto lugar, la detección de comprobación de las muescasit de carcasas inversas article usando" carbon black "para la detección de intrusión después del honeypot. Ten cuidado al usar las herramientas para recuperarlos; Si vas a intentarlo, haz solo la investigación mínima necesaria para identificar a los delincuentes. Incluso si te atacaron primero, sigue siendo un crimen volver a atacarlos.