El módulo “auxiliary/gather/shodan_honeyscore” incluido en Metasploit Framework, utiliza el API (Application Programming Interface) de Shodan, para verificar si un servidor es un HoneyPot o no. Un Honeypot es un mecanismo configurado para detectar, desviar, o de alguna contrarrestar los intentos de uso no autorizado de los sistemas El API devuelve una puntuación desde 0.0 hasta 1.0, para el host en evaluación. Es necesario configurar la llave API de Shodan para este módulo funcione adecuadamente. Si no se tiene una llave API se puede optar por crear una cuenta libre en Shodan.

Se inicia Metasploit Framework

# msfconsole

Se solicita al Framework información sobre el módulo

> info auxiliary/gather/shodan_honeyscore

Se indica la utilización del módulo, para luego mostrar su opciones disponibles.

> use auxiliary/gather/shodan_honeyscore

Este módulo requiere definir la llave API de Shodan, y la dirección IP o dominio a evaluar.

> set SHODAN_APIKEY uaseqb12dbqu9d13bc
> set TARGET 103.21.130.2
> run

Para este primer ejemplo, la puntuación obtenida es de 0.0 de 1.0. Consecuentemente según los criterios de Shodan no es un Honeypot.

Se realizan dos pruebas más.

> set TARGET 212.47.227.164
> run
> set TARGET 141.92.130.230
> run

De los resultados obtenidos, uno de ellos alcanza una puntuación de 0.3 de 1.0. Consecuentemente según los criterios de Shodan este probablemente no sea un Honeypot.

Estas consultas también pueden ser realizadas directamente desde el sitio web de Shodan, donde se explica al detalle su funcionamiento.

Las características definitorias de los Honeypots conocidos, fueron extraídos y analizados para crear una herramienta la cual permita identificar Honeypots. La probabilidad de una dirección IP sea un Honeypot es capturada en un valor “Honeysore”, el cual varía desde 0.0 hasta 1.0.

Fuente:

https://www.rapid7.com/db/modules/auxiliary/gather/shodan_honeyscore
https://en.wikipedia.org/wiki/Honeypot_(computing)
https://www.shodan.io/
https://honeyscore.shodan.io/