Intezer සහ BlackBerry හි පර්යේෂකයන් විසින් Simbiote කේත නාමයෙන් හඳුන්වන අනිෂ්ට මෘදුකාංග සොයාගෙන ඇති අතර, එය Linux ධාවනය වන සම්මුතියට පත් සේවාදායකයන් වෙත backdoors සහ rootkits එන්නත් කිරීමට භාවිතා කරයි. ලතින් ඇමරිකානු රටවල් කිහිපයක මූල්ය ආයතන පද්ධතිවල අනිෂ්ට මෘදුකාංග අනාවරණය විය. පද්ධතියක් මත Simbiote ස්ථාපනය කිරීමට, ප්රහාරකයෙකුට root ප්රවේශය තිබිය යුතුය, උදාහරණයක් ලෙස, නොගැලපෙන දුර්වලතා හෝ ගිණුම් කාන්දුවීම් ගසාකෑමේ ප්රතිඵලයක් ලෙස ලබා ගත හැක. තවදුරටත් ප්රහාර එල්ල කිරීම, වෙනත් අනිෂ්ට යෙදුම්වල ක්රියාකාරකම් සැඟවීම සහ රහස්ය දත්ත අන්තර්ග්රහණය කිරීම සංවිධානය කිරීම සඳහා අනවසරයෙන් ඇතුළුවීමෙන් පසු පද්ධතිය තුළ ඔබේ පැවැත්ම තහවුරු කිරීමට Simbiote ඔබට ඉඩ සලසයි.
Simbiote හි විශේෂ ලක්ෂණයක් වන්නේ එය බෙදා හරින ලද පුස්තකාලයක ස්වරූපයෙන් බෙදා හැරීමයි, එය LD_PRELOAD යාන්ත්රණය භාවිතයෙන් සියලුම ක්රියාවලීන් ආරම්භ කිරීමේදී පටවනු ලබන අතර සම්මත පුස්තකාලයට සමහර ඇමතුම් ප්රතිස්ථාපනය කරයි. ව්යාජ ඇමතුම් හසුරුවන්නන් විසින් ක්රියාවලි ලැයිස්තුවේ නිශ්චිත අයිතම බැහැර කිරීම, /proc හි ඇතැම් ගොනු වෙත ප්රවේශය අවහිර කිරීම, නාමාවලි තුළ ගොනු සැඟවීම, ldd ප්රතිදානයේ අනිෂ්ට බෙදාගත් පුස්තකාලය හැර (execve ශ්රිතය පැහැර ගැනීම සහ ඇමතුම් විශ්ලේෂණය කිරීම වැනි පසුපස දොරට අදාළ ක්රියාකාරකම් සඟවයි. පාරිසරික විචල්ය LD_TRACE_LOADED_OBJECTS) අනිෂ්ට ක්රියාකාරකම් හා සම්බන්ධ ජාල සොකට් නොපෙන්වයි.
රථවාහන පරීක්ෂාවෙන් ආරක්ෂා වීම සඳහා, libpcap පුස්තකාල ක්රියාකාරකම් නැවත අර්ථ දක්වා ඇත, /proc/net/tcp කියවීම පෙරීම සහ eBPF වැඩසටහනක් කර්නලය තුළට පටවනු ලැබේ, එමඟින් රථවාහන විශ්ලේෂක ක්රියාත්මක වීම වළක්වන අතර තෙවන පාර්ශවීය ඉල්ලීම් එහිම ජාල හසුරුවන්නන්ට ඉවතලයි. eBPF වැඩසටහන පළමු ප්රොසෙසරයන් අතර දියත් කර ඇති අතර පසුව දියත් කරන ලද විශ්ලේෂක ඇතුළුව පසුබිම් දොරේ ජාල ක්රියාකාරකම් සැඟවීමට ඔබට ඉඩ සලසන ජාල තොගයේ පහළම මට්ටමින් ක්රියාත්මක වේ.
රහස්ය දත්ත සොරකම් කිරීම සිදු කළ හැක්කේ ගොනු විවෘත කිරීමේ මට්ටමෙන් නොව, නීත්යානුකූල යෙදුම්වල (උදාහරණයක් ලෙස, පුස්තකාලය ආදේශ කිරීම) මෙම ලිපිගොනු වලින් කියවීමේ මෙහෙයුම් වලට බාධා කිරීමෙන් බැවින්, ගොනු පද්ධතියේ සමහර ක්රියාකාරකම් විශ්ලේෂක මඟ හැරීමට Simbiote ඔබට ඉඩ සලසයි. පරිශීලකයා මුරපදයක් ඇතුළු කිරීම හෝ ප්රවේශ යතුර සමඟ ගොනු දත්ත පූරණය කිරීම බාධා කිරීමට ශ්රිත ඔබට ඉඩ සලසයි). දුරස්ථ පිවිසුම සංවිධානය කිරීම සඳහා, Simbiote සමහර PAM ඇමතුම් (Pluggable Authentication Module) වලට බාධා කරයි, එමඟින් ඔබට යම් ප්රහාරක අක්තපත්ර සමඟ SSH හරහා පද්ධතියට සම්බන්ධ වීමට ඉඩ සලසයි. HTTP_SETTHIS පරිසර විචල්යය සැකසීමෙන් root පරිශීලකයාට ඔබේ වරප්රසාද වැඩි කිරීමට සැඟවුණු විකල්පයක් ද ඇත.
මූලාශ්රය: opennet.ru