Yeni keşfedilen Linux kötü amaçlı yazılımı, zafiyet içeren sistemlere bulaşarak, hesap kimlik bilgilerinin çalınmasını ve sistemlerde backdoor açarak sistemlerin ele geçirilmesini sağlıyor. Zararlı, ağ veri paketlerini dinleyerek, kendi iletişim kanallarını güvenlik araçlarından gizlemek için BPF (Berkeley Paket Filtresi) işlevini kullanıyor.
Zararlı, klasik yürütülebilir dosyalar yerine, LD_PRELOAD adlı yerel bir Linux özelliğinden yararlanıyor. Symbiote, dosya sistemindeki varlığını gizlemenin yanı sıra, genişletilmiş Berkeley Paket Filtresi (eBPF) özelliğini kullanarak ağ trafiğini gizleyebilir. Bu, kendisini bir denetim yazılımının sürecine enjekte ederek ve etkinliğini ortaya çıkaracak sonuçları filtrelemek için BPF’yi kullanarak gerçekleştiriyor.
Symbiote, çalışan tüm prosess’leri ele geçirdikten sonra, varlığını daha da gizlemek için rootkit etkinleştiriyor ve saldırganların makinede oturum açması ve ayrıcalıklı komutları yürütmesi için backdoor açıyor.
