ölmedim geri döndüm kaldığımız yerden devam
Süper Üye
Daha detaylı araştırmalarım sonucunda, TBH Farm Center (Task Bar Hero botu) hakkında çok ciddi bir güvenlik açığı tespit ettim. Bu botu kullanmanızı KESİNLİKLE ÖNERMİYORUM.
Programın kurulu dizinindeki
resources/TBHProxyHelper.exe dosyası incelendiğinde, bu dosyanın 28.8 MB boyutunda olduğu ve içerisine gömülü mitmproxy (Man-in-the-Middle Proxy) barındırdığı anlaşılmıştır.mitmproxy — Tam bir MITM proxy yazılımı. HTTPS trafiğini araya girerek okuyabilir.
cryptography kütüphanesi — x509, PKCS, RSA, AES, HMAC sertifika ve şifreleme araçları
certifi/cacert.pem — Kendi CA sertifika paketi. Sertifika pinning bypass için kullanılır.
426 adet DER sertifika kalıbı — Binary içinde gömülü MITM CA sertifikaları tespit edildi
argon2 password hashing — Şifre hashleme altyapısı
ldap3 modülü — LDAP authentication desteği
aioquic — QUIC protokol desteği (HTTP/3 traffic interception)
stickycookie.py / http.cookiejar — Cookie yakalama ve session takibi
intercept.py / capture.py — Trafik yakalama ve intercept modülleri
Program sadece MITM proxy barındırmıyor — aktif olarak veri topluyordu!
1. mitmproxy CA Sertifikaları (%APPDATA%\TBHFarmCenter\proxy_ca\):
Kod:
mitmproxy-ca-cert.cer (1,172 byte)
mitmproxy-ca-cert.p12 (1,035 byte)
mitmproxy-ca-cert.pem (1,172 byte)
mitmproxy-ca.p12 (2,384 byte)
mitmproxy-ca.pem (2,847 byte)
mitmproxy-dhparam.pem (770 byte)
2. Yakalanan Trafik Verileri (%APPDATA%\TBHFarmCenter\accounts\...\captured_traffic\):
Kod:
session_direct_20260718_231153.jsonl (86,779 byte)
session_game_20260718_230811.jsonl (66,951 byte)
+ 11 adet daha session dosyası (toplam ~400KB yakalanan trafik)
3. Çalınan Session Secret:
Kod:
%APPDATA%\TBHFarmCenter\accounts\...\session_secret.txt
İçerik: rYm8iWhkQ9pP-DJowf0FlN
4. Sistem Proxy Ayarları:
Kod:
ProxyServer = 127.0.0.1:8877 (MITM proxy portu!)
ProxyEnable = 0 (şu an kapalı ama ayar hala kayıtlı)
TBHProxyHelper.exe, Steam ve oyun sunucusu arasındaki HTTPS trafiğini araya girerek okuyor.
Bu proxy şunları yapabilir:
Steam auth token'larını yakalayabilir — hesabınıza erişim sağlar
Oyun session cookie'lerini okuyabilir — oyun içi oturum bilgilerinizi ele geçirebilir
Steam hesap bilgilerinizi (kullanıcı adı, hesap ID, token) gönderebilir
Trafik manipülasyonu yapabilir — gönderilen eşyalar, craft işlemleri değiştirilebilir
Otomatik veri toplama — session_capture.py modülü aktif olarak oturum verisi topluyor
Session secret'ları kaydediyor — %APPDATA%\TBHFarmCenter\accounts\...\session_secret.txt
Trafik logları tutuyor — captured_traffic/ klasöründe ~400KB yakalanan veri
Ana executable'da da şüpheli bileşenler tespit edildi:
DecryptTicket / EncryptTicket — Steam auth ticket şifreleme/çözme fonksiyonları
latestCredentialRow — Credential management API'si (github.com/nidea1/tbh-farm-center/internal/api)
KeyLogWriter / writeKeyLog — TLS session key logging — tüm HTTPS oturum anahtarlarını kaydedebilir
upload_t / UploadToSteam — Steam'e veri yükleme fonksiyonu
api.tbhindex.com — Geliştiricinin kendi backend API'si — toplanan veriler buraya gönderiliyor olabilir
Bağlantıları görmek için lütfen
Giriş Yap
— 3. parti backend servisi
Kod:
TBHProxyHelper.exe:
MD5: 74ba9853a070631a41f53bf8391a3aab
SHA1: 0e2803861981da2078623d02fb3de304ef748fd0
SHA256: f66cbcf7148b4375990834d270197d1f98f80bbce1f9616f4189c206ed182824
TBH Farm Center.exe:
MD5: 65d89f71478502ff4f126283214bc6a0
SHA1: 05af6bf05523a2609310ea4f5b02918912504f6a
SHA256: e27faef811a077661a96978e86436b0c09609b16f46ea54c689e90fe692f80be
Bağlantıları görmek için lütfen
Giriş Yap
— Geliştirici API'si
Bağlantıları görmek için lütfen
Giriş Yap
— Backend servisi
Bağlantıları görmek için lütfen
Giriş Yap
— Ana web sitesi ve update sunucusu
Bağlantıları görmek için lütfen
Giriş Yap
— Asset hosting (sprite, item görselleri)TBHProxyHelper.exe: Python 3.12 ile PyInstaller kullanılarak paketlenmiş, 7 PE section, x64, MITM proxy modülleri embedded
TBH Farm Center.exe: Go backend + Wails v2 + WebView2 frontend, 9 PE section, x64, ECDSA imzalı lisans sistemi
Proxy mekanizması: MITM CA sertifikası ile sertifika pinning bypass, QUIC/HTTP3 destekli traffic interception
Veri toplama: session_capture.py, capture.py, intercept.py modülleri aktif olarak oturum verisi topluyor
Eğer bu programı daha önce bilgisayarınıza kurdu ve çalıştırdıysanız, aşağıdaki adımları Hemen şimdi uygulayın:
1. Sertifika Kontrolü
MITM proxy kendi CA sertifikasını Windows sertifika deposuna eklemiş olabilir.
Windows + R tuşuna basın,
certmgr.msc yazın, Enter'a basınSol panelden Trusted Root Certification Authorities > Certificates tıklayın
Sağ taraftaki listede şüpheli veya bilinmeyen sertifikaları arayın
Özellikle "mitmproxy", "mitmproxy-ca", "TBH", "TBHProxy" veya tarihleri yeni olan sertifikaları kontrol edin
Şüpheli sertifikayı bulursanız, sağ tıklayarak Sil deyin
Ayrıca Intermediate Certification Authorities klasörünü de kontrol edin
2. DNS Ayarları Kontrolü
Program DNS ayarlarınızı değiştirmiş olabilir.
Windows + R,
ncpa.cpl yazınAktif internet bağlantınıza sağ tıklayın > Properties
Internet Protocol Version 4 (TCP/IPv4)'ü seçin > Properties
DNS sunucusu alanı: Otomatik (DHCP) seçili olmalı
Veya güvenilir DNS kullanın:
1.1.1.1 veya 8.8.8.8Eğer
127.0.0.1, 0.0.0.0 veya bilinmeyen bir DNS adresi varsa DERHAL değiştirinIPv6 ayarlarını da kontrol edin (aynı pencerede)
Ayrıca
ipconfig /all komutunu çalıştırarak DNS ayarlarını doğrulayın3. Proxy Ayarları Kontrolü
Program sistem proxy'sini değiştirmiş olabilir.
Windows + R,
inetcpl.cpl yazın (veya Tarayıcı ayarları > Proxy)Connections sekmesine geçin > LAN settings
"Automatically detect settings" işaretli olmalı
"Use a proxy server" İşaretli OLMAMALI — işaretliyse kaldırın
Ayrıca Windows Ayarları > Ağ > Proxy menüsünden de kontrol edin
"Use a proxy server" Kapalı olmalı
4. Port ve Firewall Kontrolü
Program açık portlar bırakmış olabilir.
Komut istemcisi açın (Yönetici olarak çalıştırın)
Şu komutu çalıştırın:
netstat -anoLISTENING durumundaki portları kontrol edin
Özellikle
8080, 8888, 8443, 5000 gibi olağandışı portlarda dinleme varsa dikkatli olunEğer
TBHProxyHelper.exe veya TBH Farm Center.exe hala listede görünüyorsa, o süreci taskkill /f /pid [PID_NUMARASI] ile sonlandırınWindows Firewall'da Gelen Kurallar ve Giden Kurallar'ı kontrol edin — TBH ile ilgili kural varsa silin
5. İnternet Bağlantı Sorunları
MITM proxy bazı durumlarda internet bağlantısını bozabilir:
Steam açılmıyor mu? — Proxy ayarları yüzünden olabilir. Proxy ayarlarını sıfırlayın
Oyunlarda lag veya kopma mı yaşıyorsunuz? — Proxy trafiği yavaşlatıyor olabilir
"SSL hatası" veya "sertifika hatası" mı alıyorsunuz? — MITM CA sertifikası hala sistemde olabilir
WiFi/Ethernet bağlı ama internet yok mu? — DNS ayarları bozulmuş olabilir
Hepsini düzeltmek için Komut istemcisi (Admin) açın ve sırasıyla çalıştırın:
netsh winhttp reset proxy
ipconfig /flushdns
ipconfig /release
ipconfig /renew
netsh int ip reset
netsh winsock reset
Bilgisayarı yeniden başlatın
6. Kayıt Defteri Kontrolü (İleri Düzey)
Program kayıt defterine de değişiklik yapmış olabilir.
Windows + R,
regedit yazınŞu yolları kontrol edin:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings"ProxyEnable" değeri 0 olmalı
"ProxyServer" değeri boş olmalı
Ayrıca
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings yolunu da kontrol edin7. Tam Temizlik Adımları
TBH Farm Center klasörünü tamamen silin (masaüstü)
%APPDATA%\TBHFarmCenter klasörünü silin — MITM CA sertifikaları, yakalanan trafik verileri, session secret'ları burada saklanır
%APPDATA%\TBH Farm Center.exe klasörünü silin (WebView2 verileri)
Yukarıdaki sertifika, DNS, proxy, port kontrollerini yapın
Sistemi taratın (Windows Defender tam tarama)
Steam şifrenizi değiştirin
Steam Guard'ı devre dışı bırakıp tekrar aktif edin
Eğer Steam hesabınızda olağandışı aktivite varsa Steam Destek'e bildirin
Proxy ayarı temizlendi —
ProxyServer boşaltıldıDNS cache temizlendi —
ipconfig /flushdns%APPDATA%\TBHFarmCenter klasörü silindi (MITM CA sertifikaları + yakalanan trafik dahil)%APPDATA%\TBH Farm Center.exe klasörü silindi (WebView2 verileri)Bu programı Steam hesabınızla KULLANMAYIN.
MITM proxy Steam token'larınızı ve session bilgilerinizi yakalayabilir
Toplanan veriler geliştiricinin kendi sunucusuna (api.tbhindex.com) gönderilebilir
Hesap güvenliğiniz ciddi şekilde tehlikede olabilir
Steam hesabınız çalınabilir veya askıya alınabilir
Program sertifikanızı, DNS ayarlarınızı ve proxy yapılandırmanızı değiştirmiş olabilir
İnternet bağlantınızda kalıcı sorunlara yol açabilir
Bu bulgular Cheat Engine, Python string analizi ve static binary analysis kullanılarak elde edilmiştir.
Son düzenleme: