TBH Farm Center Kullanmayın !!! (mimt proxy)

ölmedim geri döndüm kaldığımız yerden devam
Süper Üye
Katılım
6 Eki 2019
Mesajlar
766
Çözümler
19
Tepki puanı
160
Ödüller
6
Sosyal
6 HİZMET YILI
⚠️ UYARI: TBH Farm Center KULLANMAYIN — MITM PROXY TESPİT EDİLDİ

Daha detaylı araştırmalarım sonucunda, TBH Farm Center (Task Bar Hero botu) hakkında çok ciddi bir güvenlik açığı tespit ettim. Bu botu kullanmanızı KESİNLİKLE ÖNERMİYORUM.

🔍 Tespit Edilen Tehdit: Embedded MITM Proxy

Programın kurulu dizinindeki resources/TBHProxyHelper.exe dosyası incelendiğinde, bu dosyanın 28.8 MB boyutunda olduğu ve içerisine gömülü mitmproxy (Man-in-the-Middle Proxy) barındırdığı anlaşılmıştır.

📋 TBHProxyHelper.exe İçeriği

mitmproxy — Tam bir MITM proxy yazılımı. HTTPS trafiğini araya girerek okuyabilir.
cryptography kütüphanesi — x509, PKCS, RSA, AES, HMAC sertifika ve şifreleme araçları
certifi/cacert.pem — Kendi CA sertifika paketi. Sertifika pinning bypass için kullanılır.
426 adet DER sertifika kalıbı — Binary içinde gömülü MITM CA sertifikaları tespit edildi
argon2 password hashing — Şifre hashleme altyapısı
ldap3 modülü — LDAP authentication desteği
aioquic — QUIC protokol desteği (HTTP/3 traffic interception)
stickycookie.py / http.cookiejar — Cookie yakalama ve session takibi
intercept.py / capture.py — Trafik yakalama ve intercept modülleri

🔴 Sistemde Tespit Edilen Somut Kanıtlar

Program sadece MITM proxy barındırmıyor — aktif olarak veri topluyordu!

1. mitmproxy CA Sertifikaları (%APPDATA%\TBHFarmCenter\proxy_ca\):

Kod:
mitmproxy-ca-cert.cer   (1,172 byte)
mitmproxy-ca-cert.p12   (1,035 byte)
mitmproxy-ca-cert.pem   (1,172 byte)
mitmproxy-ca.p12        (2,384 byte)
mitmproxy-ca.pem        (2,847 byte)
mitmproxy-dhparam.pem   (770 byte)

2. Yakalanan Trafik Verileri (%APPDATA%\TBHFarmCenter\accounts\...\captured_traffic\):

Kod:
session_direct_20260718_231153.jsonl  (86,779 byte)
session_game_20260718_230811.jsonl     (66,951 byte)
+ 11 adet daha session dosyası (toplam ~400KB yakalanan trafik)

3. Çalınan Session Secret:

Kod:
%APPDATA%\TBHFarmCenter\accounts\...\session_secret.txt
İçerik: rYm8iWhkQ9pP-DJowf0FlN

4. Sistem Proxy Ayarları:

Kod:
ProxyServer = 127.0.0.1:8877  (MITM proxy portu!)
ProxyEnable = 0               (şu an kapalı ama ayar hala kayıtlı)

⚠️ Ne Anlama Geliyor?

TBHProxyHelper.exe, Steam ve oyun sunucusu arasındaki HTTPS trafiğini araya girerek okuyor.

Bu proxy şunları yapabilir:

Steam auth token'larını yakalayabilir — hesabınıza erişim sağlar
Oyun session cookie'lerini okuyabilir — oyun içi oturum bilgilerinizi ele geçirebilir
Steam hesap bilgilerinizi (kullanıcı adı, hesap ID, token) gönderebilir
Trafik manipülasyonu yapabilir — gönderilen eşyalar, craft işlemleri değiştirilebilir
Otomatik veri toplama — session_capture.py modülü aktif olarak oturum verisi topluyor
Session secret'ları kaydediyor — %APPDATA%\TBHFarmCenter\accounts\...\session_secret.txt
Trafik logları tutuyor — captured_traffic/ klasöründe ~400KB yakalanan veri

🔬 Ana Uygulama (TBH Farm Center.exe) Bulguları

Ana executable'da da şüpheli bileşenler tespit edildi:

DecryptTicket / EncryptTicket — Steam auth ticket şifreleme/çözme fonksiyonları
latestCredentialRow — Credential management API'si (github.com/nidea1/tbh-farm-center/internal/api)
KeyLogWriter / writeKeyLog — TLS session key logging — tüm HTTPS oturum anahtarlarını kaydedebilir
upload_t / UploadToSteam — Steam'e veri yükleme fonksiyonu
api.tbhindex.com — Geliştiricinin kendi backend API'si — toplanan veriler buraya gönderiliyor olabilir
Bağlantıları görmek için lütfen Giriş Yap
— 3. parti backend servisi

📊 Dosya Hash Değerleri

Kod:
TBHProxyHelper.exe:
  MD5:    74ba9853a070631a41f53bf8391a3aab
  SHA1:   0e2803861981da2078623d02fb3de304ef748fd0
  SHA256: f66cbcf7148b4375990834d270197d1f98f80bbce1f9616f4189c206ed182824

TBH Farm Center.exe:
  MD5:    65d89f71478502ff4f126283214bc6a0
  SHA1:   05af6bf05523a2609310ea4f5b02918912504f6a
  SHA256: e27faef811a077661a96978e86436b0c09609b16f46ea54c689e90fe692f80be

🌐 Tespit Edilen API Endpoint'leri

Bağlantıları görmek için lütfen Giriş Yap
— Geliştirici API'si
Bağlantıları görmek için lütfen Giriş Yap
— Backend servisi
Bağlantıları görmek için lütfen Giriş Yap
— Ana web sitesi ve update sunucusu
Bağlantıları görmek için lütfen Giriş Yap
— Asset hosting (sprite, item görselleri)

🛠️ Teknik Detaylar

TBHProxyHelper.exe: Python 3.12 ile PyInstaller kullanılarak paketlenmiş, 7 PE section, x64, MITM proxy modülleri embedded
TBH Farm Center.exe: Go backend + Wails v2 + WebView2 frontend, 9 PE section, x64, ECDSA imzalı lisans sistemi
Proxy mekanizması: MITM CA sertifikası ile sertifika pinning bypass, QUIC/HTTP3 destekli traffic interception
Veri toplama: session_capture.py, capture.py, intercept.py modülleri aktif olarak oturum verisi topluyor

🚨 BU PROGRAMI KULLANANLAR İÇİN ACİL KONTROL LİSTESİ

Eğer bu programı daha önce bilgisayarınıza kurdu ve çalıştırdıysanız, aşağıdaki adımları Hemen şimdi uygulayın:

1. Sertifika Kontrolü

MITM proxy kendi CA sertifikasını Windows sertifika deposuna eklemiş olabilir.

Windows + R tuşuna basın, certmgr.msc yazın, Enter'a basın
Sol panelden Trusted Root Certification Authorities > Certificates tıklayın
Sağ taraftaki listede şüpheli veya bilinmeyen sertifikaları arayın
Özellikle "mitmproxy", "mitmproxy-ca", "TBH", "TBHProxy" veya tarihleri yeni olan sertifikaları kontrol edin
Şüpheli sertifikayı bulursanız, sağ tıklayarak Sil deyin
Ayrıca Intermediate Certification Authorities klasörünü de kontrol edin

2. DNS Ayarları Kontrolü

Program DNS ayarlarınızı değiştirmiş olabilir.

Windows + R, ncpa.cpl yazın
Aktif internet bağlantınıza sağ tıklayın > Properties
Internet Protocol Version 4 (TCP/IPv4)'ü seçin > Properties
DNS sunucusu alanı: Otomatik (DHCP) seçili olmalı
Veya güvenilir DNS kullanın: 1.1.1.1 veya 8.8.8.8
Eğer 127.0.0.1, 0.0.0.0 veya bilinmeyen bir DNS adresi varsa DERHAL değiştirin
IPv6 ayarlarını da kontrol edin (aynı pencerede)
Ayrıca ipconfig /all komutunu çalıştırarak DNS ayarlarını doğrulayın

3. Proxy Ayarları Kontrolü

Program sistem proxy'sini değiştirmiş olabilir.

Windows + R, inetcpl.cpl yazın (veya Tarayıcı ayarları > Proxy)
Connections sekmesine geçin > LAN settings
"Automatically detect settings" işaretli olmalı
"Use a proxy server" İşaretli OLMAMALI — işaretliyse kaldırın
Ayrıca Windows Ayarları > Ağ > Proxy menüsünden de kontrol edin
"Use a proxy server" Kapalı olmalı

4. Port ve Firewall Kontrolü

Program açık portlar bırakmış olabilir.

Komut istemcisi açın (Yönetici olarak çalıştırın)
Şu komutu çalıştırın: netstat -ano
LISTENING durumundaki portları kontrol edin
Özellikle 8080, 8888, 8443, 5000 gibi olağandışı portlarda dinleme varsa dikkatli olun
Eğer TBHProxyHelper.exe veya TBH Farm Center.exe hala listede görünüyorsa, o süreci taskkill /f /pid [PID_NUMARASI] ile sonlandırın
Windows Firewall'da Gelen Kurallar ve Giden Kurallar'ı kontrol edin — TBH ile ilgili kural varsa silin

5. İnternet Bağlantı Sorunları

MITM proxy bazı durumlarda internet bağlantısını bozabilir:

Steam açılmıyor mu? — Proxy ayarları yüzünden olabilir. Proxy ayarlarını sıfırlayın
Oyunlarda lag veya kopma mı yaşıyorsunuz? — Proxy trafiği yavaşlatıyor olabilir
"SSL hatası" veya "sertifika hatası" mı alıyorsunuz? — MITM CA sertifikası hala sistemde olabilir
WiFi/Ethernet bağlı ama internet yok mu? — DNS ayarları bozulmuş olabilir
Hepsini düzeltmek için Komut istemcisi (Admin) açın ve sırasıyla çalıştırın:

netsh winhttp reset proxy ipconfig /flushdns ipconfig /release ipconfig /renew netsh int ip reset netsh winsock reset

Bilgisayarı yeniden başlatın

6. Kayıt Defteri Kontrolü (İleri Düzey)

Program kayıt defterine de değişiklik yapmış olabilir.

Windows + R, regedit yazın
Şu yolları kontrol edin:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
"ProxyEnable" değeri 0 olmalı
"ProxyServer" değeri boş olmalı
Ayrıca HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings yolunu da kontrol edin

7. Tam Temizlik Adımları

TBH Farm Center klasörünü tamamen silin (masaüstü)
%APPDATA%\TBHFarmCenter klasörünü silin — MITM CA sertifikaları, yakalanan trafik verileri, session secret'ları burada saklanır
%APPDATA%\TBH Farm Center.exe klasörünü silin (WebView2 verileri)
Yukarıdaki sertifika, DNS, proxy, port kontrollerini yapın
Sistemi taratın (Windows Defender tam tarama)
Steam şifrenizi değiştirin
Steam Guard'ı devre dışı bırakıp tekrar aktif edin
Eğer Steam hesabınızda olağandışı aktivite varsa Steam Destek'e bildirin

✅ Yapılan Temizlikler (Bu Analiz Sırasında)

Proxy ayarı temizlendi — ProxyServer boşaltıldı
DNS cache temizlendi — ipconfig /flushdns
%APPDATA%\TBHFarmCenter klasörü silindi (MITM CA sertifikaları + yakalanan trafik dahil)
%APPDATA%\TBH Farm Center.exe klasörü silindi (WebView2 verileri)

🎯 Sonuç

Bu programı Steam hesabınızla KULLANMAYIN.

MITM proxy Steam token'larınızı ve session bilgilerinizi yakalayabilir
Toplanan veriler geliştiricinin kendi sunucusuna (api.tbhindex.com) gönderilebilir
Hesap güvenliğiniz ciddi şekilde tehlikede olabilir
Steam hesabınız çalınabilir veya askıya alınabilir
Program sertifikanızı, DNS ayarlarınızı ve proxy yapılandırmanızı değiştirmiş olabilir
İnternet bağlantınızda kalıcı sorunlara yol açabilir

Bu bulgular Cheat Engine, Python string analizi ve static binary analysis kullanılarak elde edilmiştir.

⚠️ Bu mesajı mümkün olduğunca çok kişiye ulaştırın. Forumda, Discord'da, arkadaşlarınıza bildirin.
 
Son düzenleme:
Üye
Katılım
18 Şub 2019
Mesajlar
1
Tepki puanı
0
Ödüller
7
Yaş
28
7 HİZMET YILI
Uygulama proxy’i sadece session yakalamak için kullanıyor, bu da clientless farm atabilmek için gerekli. Zaten capture session dediğinizde proxy aktif oluyor oyun sessionları yakalanınca proxy kapatılıyor. Yakalanan trafik kayıtları da sonrasında oyun için atılan request responselardan ibaret. API’ler için ise tbhindex eşya fiyatları için, thebackend.io oyunun kendi backend, tbhcity eşya görselleri ve kendi siteleriyle de güncelleme kontrolü yapılıyor. Sonuç olarak oyuna erişim sağladığınız token’ları local olarak kaydedip oyun açılmadan bile farm atmanızı sağladığı gerçeği değişmediği için kullanmak size kalmış.
 
Üst