Solucanlar bulundukları kaynaktan baĢka kaynaklara yayılmak için ve bulundukları kaynakta dağılmak için bir takım stratejiler kullanırlar. Bu bölümde solucanların kullandığı bu stratejilerden bahsedilmiĢtir [23].
3.1. Kendi Kendini TaĢıyan Solucanlar
Bu tür solucanlar enfeksiyon sürecinin bir parçası olarak kendilerini de aktif bir biçimde sunuculara taĢırlar [23].
3.2. Ġkincil Kanal Kullanan Solucanlar
Bazı solucanlar baĢka bir kaynağa sıçramalarını tamamlamak için mevcut haberleĢme kanallarının haricinde ikincil bir haberleĢme kaynağına ihtiyaç duyarlar. Örneğin Blaster solucanı yayılmak için RPC (remote procedure call) protokolü açıklarını kullanmasına rağmen, kurban makineye solucanın tamamını indirmek ve solucanın yayılım sürecinin tamamlanmasını sağlamak için solucanın alındığı kaynağa TFTP protokolünü kullanarak geri bağlanılmasını sağlar [23].
3.3. Gömülü Solucanlar
Gömülü bir solucan normal bir mesaja eklenir veya normal bir mesajla yer değiĢtirerek kendisinin bir haberleĢme kanalı boyunca iletilmesini sağlar. HaberleĢme kanalı dıĢarıdan izlendiğinde bir anormallik fark edilemez. Fakat bu durum solucanın hedef seçme stratejisi ile de yakından ilgilidir. Solucanın hedef seçme stratejisi verimli olduğunda gömülü bir solucan, solucanın yayılımı açısından büyük fayda sağlayacaktır. Ancak hedef seçme stratejisi verimli olmazsa solucan kendisini haberleĢme kanalında belli edebilir ve gömülü yayılımın sağladığı yararlardan sadece çok azını koruyabilir [23].
35
3.4. Solucanların AktifleĢmesi
Solucanların bir bilgisayara yerleĢtikten sonra iĢlevlerini yerine getirmeye baĢlamasına solucanın aktifleĢmesi denir. Her solucan aynı Ģekilde, aynı süre sonunda aktifleĢmez. Bazı solucanlar yerleĢtikleri sunucuda hemen aktifleĢmek üzerine programlanmıĢken, bazıları haftalarca veya günlerce beklemek üzerine programlanmıĢlardır. Bazıları insan müdahaleleri sonucu aktifleĢirken, bazıları belli bir süre sonunda aktifleĢebilir. Solucanın bir sunucuda aktifleĢme Ģekli, solucanın bir sunucuda hangi Ģiddetle yayılabileceği ile de orantılıdır [23].
3.5. Ġnsan AktifleĢtirmesi
Bu aktifleĢtirme çeĢidinde solucanın yerel kopyasının yürütülmesi için kullanıcının kandırılması gerekir. Bu en yavaĢ aktivasyon yaklaĢımıdır. Kullanıcılar bilinçli olarak bir solucanın sistemlerinde koĢmalarını istemeyecekleri için bu tür solucanlar çeĢitli sosyal mühendislik tekniklerini kullanırlar. Iloveyou solucanı saldırısında olduğu gibi kiĢilerin ilgisini çekebilirler (“sizi seven kiĢinin kim olduğunu öğrenmek için bu mesajı açın”). Benjamin solucanı örneğinde görüldüğü gibi kiĢilerin maddi çıkar sağlayabilecekleri durumlar sunabilirler (“bu dosyayı indir ve telif hakkı olan materyale bedavaya sahip ol”). Melissa e-posta solucanlarında yaĢandığı üzere gönderilen mesajın çok önemli olduğu hissini yaratabilirler (“ekte senin için önemli bir mesaj var”) [23].
3.6. Ġnsan Aktivitesi Temelli Solucan AktifleĢmesi
Pek çok solucan insanların bir solucanla iliĢkili olabileceğini düĢünemeyeceği aktiviteleri gerçekleĢtirmeleri sonucu aktifleĢebilir. Bir bilgisayarı yeniden baĢlatmak, bir bilgisayarda oturum açmak (böylece oturum açma betikleri yürütülebilir veya solucan bulaĢmıĢ bir dosya uzaktan açılabilir). Bu tür aktifleĢtirme mekanizmaları genellikle Microsoft Windows iĢletim sistemlerinde paylaĢıma açılan solucanlarda görülür. Solucan hedef makine ne zaman yeniden baĢlatılırsa koĢmaya baĢlar, bu solucanlar veriyi hedef diske direkt olarak bir tetiklemeye ihtiyaç duymadan yazarlar [23].
36
3.7. ProgramlanmıĢ Süreç AktifleĢmesi
Bazı solucanlar ayna siteler aracılığı ile yayılabilirler veya direkt olarak masaüstü makinelere eriĢebilirler. Masaüstü bilgisayarlarda kullanılan çoğu iĢletim sistemi ve uygulamalar otomatik güncelleĢtirme programlarını periyodik olarak bilgisayara indirirler, kurarlar ve yazılım güncelleĢtirmelerini koĢtururlar. Bugün bilgisayar dünyasında kullanılan çoğu sistemin ilk sürümleri kimlik denetleme politikası içermiyorlardı. Böylece bir saldırganın bu tür bir bilgisayara eriĢmesi için yapması gereken tek Ģey ilgili dosyayı sisteme sunmaktır. Ağ güvenlik politikalarını tam olarak sağlayamamıĢ sistemlerde programlanmıĢ süreçler sonucunda bir bilgisayara eriĢmek oldukça kolaydır [23].
3.8. Kendi Kendine AktifleĢme
Bugüne kadar görülen solucanların en hızlısı sunucularda her zaman açık olan servislerin açıklarını kullanarak kendilerini aktifleĢtirenler (Code Red solucanının IIS Web sunucularının açıklarını sömürmesi) veya çeĢitli servislerin kullandığı kütüphanelerin açıklarını kullananlardır. Bu kategorideki solucanlar saldırdıkları servise verilen izinleri ya da yürütme komutlarını kullanarak kendilerini koĢan servise eklerler [23].
3.9. Yük Miktarları (Payloads)
Yük (payload), bir solucanın yayılım rutininden farklı olarak taĢıdığı koddur. Solucan yerleĢtiği sunucuda bu kodun içeriğine bağlı olarak farklı eylemler gerçekleĢtirir. Bu kodun içeriği ve yapabilecekleri yalnızca saldırganın hayal gücü ve hedefleri ile sınırlıdır. Bu güne kadar görülmüĢ solucanların içerdiği yük çeĢitleri Ģu Ģekilde sıralanabilir:
ĠĢlevsiz Yükler: ġimdiye kadar görülmüĢ solucanların çoğu iĢlevsiz yüke (payload) sahip olan solucanlardır. Bir solucanın yayılım kodunda hata varsa solucanın sıçraması genellikle baĢarısız olur. Yük kısmında hata olduğunda ise yayılımını devam ettirir. Bazı durumlarda solucanlar, yük kodunda hata olmasına rağmen büyük bir etkiye sahip olabilir; ağdaki trafikte ve bilgisayarlar üzerinde aĢırı yüklenmelere sebep olarak sistemlerin çalıĢmasını bozabilir (Morris ve Slammer solucanları), savunmasız bilgisayarları tespit edebilirler [23],
37
Ġnternet aracılığıyla uzaktan kontrol edilebilmeye imkan veren yükler [23], Ġstenmeyen posta yayını (spam) yapılmasını sağlayan yükler [23],
Ġnternet DoS saldırısı yapılmasını sağlayan yükler [23], YerleĢilen sunucudan veri toplanmasını sağlayan yükler [23],
Bilginin satılması için yerleĢilen sunucuya eriĢime imkan veren yükler [23], Fiziksel dünyaya uzaktan eriĢim imkanı sağlayan yükler [23],
Sömürülen sunucudan fiziksel dünyaya DoS saldırıları yapılmasına sebep olan yükler [23],
Fiziksel dünyada keĢfe imkan veren yükler [23],
38