In primo luogo, lo schema di comportamento che stai vedendo è probabile perché il malware ha rilevato che è in esecuzione in un ambiente sandbox. Il conteggio delle CPU per il tuo honeypot dovrebbe essere maggiore di due, se non lo è già, perché la maggior parte del nuovo malware termina automaticamente se sono disponibili due o meno core CPU e i processi del tuo honeypot dovrebbero non essere visibili agli aggressori 'software perché alcuni dei malware scritti meglio controlleranno se honeyd o altri ben noti daemon honeypot sono in esecuzione o installati. Un'opzione facile per limitare la visibilità di process / fs è cercare "firejail" e come configurare i profili personalizzati. Suggerimento: l'output strace può essere analizzato e aggiunto ai profili firejail per nascondere / disabilitare l'elenco del file system host e dei processi in esecuzione.
In secondo luogo, controlla l'esecuzione di una presa di Snort tra l'honeypot e la sua connessione di rete per acquisire e impronte digitali del traffico di rete degli attacchi quasi in tempo reale. Ho avuto fortuna con l'utilizzo di Raspberry Pis per il monitoraggio della rete a basso costo.
Terzo, considera l'utilizzo di hardware dedicato per il tuo honeypot per renderlo più simile a una vittima legittima; termine di ricerca "sistema su un chip" (wiki ha un elenco di produttore ) per opzioni a basso costo disponibili . Quello di Intel è quello che suggerirei per questo perché l'architettura sembra molto vicina al desktop di una vittima legittima.
In quarto luogo, esamina il codice sorgente di Metasploit honeypot per kippo e altri il tuo honeypot è meno rilevabile perché potrebbero esserci altri modi intelligenti in cui gli attacchi stanno rilevando che vengono osservati.
Quinto, checkout di rilevamento di reverse shell metasploit articolo che utilizza" carbon black "per il rilevamento di intrusione dopo honeypot. Fai attenzione a usare gli strumenti per reinserirli; se hai intenzione di provare, fai solo le indagini minime necessarie per identificare i criminali. Anche se ti hanno attaccato prima, è ancora un crimine rimediarli indietro.