BBOT рекурсивно картирует интернет-экспозицию

BBOT — open-source Python-инструмент для recursive internet scanning, recon, OSINT и управления внешней attack surface.

2026-05-15 GIGATAP Team #security
#recon#attack-surface-management#osint

Что такое BBOT#

BBOT — open-source Python-проект от Black Lantern Security. Описание на GitHub короткое и прямое: «recursive internet scanner for hackers». Репозиторий позиционирует инструмент вокруг reconnaissance, attack surface management, OSINT, subdomain enumeration, threat intelligence, bug bounty и pentesting.

Это важно, потому что такие задачи часто ломаются в одном и том же месте: первая карта оказывается неполной. Организация может знать свои основные домены, cloud accounts и публичные приложения. Но у нее может не быть чистого понимания забытых subdomains, exposed services, связанных assets или инфраструктуры, которая проявляется только через recursive discovery.

BBOT, похоже, находится именно в этом промежутке. Судя по публичным metadata репозитория, это не просто scanner. Среди topics указаны attack-surface-management, EASM, OSINT framework, subdomain scanner, recursion, automation, CLI, Neo4j, recon и threat intelligence. Это говорит о том, что инструмент нацелен на сбор и расширение internet-facing leads, а не на проверку одного host в изоляции.

Ключевое слово здесь — «говорит». Публичные GitHub metadata показывают заявленный scope проекта и сигналы вокруг его ecosystem. Но они не доказывают production readiness, safety properties, качество detection или operational fit для конкретной команды.

Какую конкретную проблему он пытается решить#

Reconnaissance обычно менее эффектен, чем exploitation, но часто именно он определяет, будет ли полезна вся остальная работа. Если asset list неверен, vulnerability scanning становится слишком узким. Если карта subdomains устарела, обзоры exposure пропускают реальные targets. Если OSINT-данные не связаны между собой, аналитики тратят время на ручное склеивание leads.

Публичное позиционирование BBOT указывает на recursive discovery. На практике recursive internet scanning означает, что инструмент может начать с известных inputs и использовать найденные данные, чтобы находить новые связанные данные. Domain может привести к subdomains. Subdomain может привести к hosts, services, names или другим artifacts. Эти artifacts могут стать новыми inputs.

Такой подход полезен в нескольких типичных workflow:

  • External attack surface reviews, где первая задача — понять, что организация выставляет наружу.
  • Bug bounty reconnaissance, где исследователям нужно быстро расширить список assets перед более глубоким тестированием.
  • Подготовка к pentest, где scope нужно превратить в реальные internet-facing targets.
  • Threat intelligence и OSINT-работа, где важны связи между domains, infrastructure и identifiers.
  • Security automation, где повторяющиеся recon jobs должны давать консистентный output, а не набор разрозненных заметок.

В topic list репозитория также упоминается Neo4j. Это важно, потому что graph storage часто используют там, где значимы relationships: domains к subdomains, hosts к services, identities к infrastructure и так далее. Одни metadata не объясняют точно, как BBOT использует Neo4j, но они усиливают идею, что проект ориентирован на connected discovery, а не только на разовые probes.

Кому это может быть интересно#

Очевидная аудитория — security operators, которые занимаются external recon: pentesters, bug bounty hunters, red teams, ASM/EASM teams и OSINT analysts. Проект написан на Python, что также делает его удобным для команд, которые хотят изучить поведение инструмента, модифицировать modules или встроить его в существующую automation.

У репозитория заметны community signals: 9 683 stars, 803 forks и 63 watchers на момент, отраженный в исходном материале. Эти числа не гарантируют качество. Но они показывают, что проект привлек внимание сообщества security tooling.

Лицензия — AGPL-3.0. Это не сноска. AGPL licensing может быть важен для организаций, которые модифицируют, хостят или интегрируют software в services. Командам стоит изучить license obligations, прежде чем строить internal workflows или commercial services вокруг проекта.

BBOT также может заинтересовать defenders, даже если они не ведут offensive programs. External asset discovery — это не только проблема red team. Blue teams должны знать, что attackers могут enumerate. Если инструмент помогает обнаружить забытые internet-facing assets, он может поддержать hygiene work до того, как эти assets станут evidence в incident.

Практический вывод#

Командам, которые хотят оценить BBOT, стоит начинать не с широкого сканирования, а с контролируемого pilot на собственных доменах и заранее утвержденном scope. Минимальный безопасный план выглядит так: проверить лицензию AGPL-3.0 с legal/compliance, отделить passive и active modules, задать rate limits, логировать весь generated traffic, сохранить raw output и сравнить найденные assets с текущим CMDB, EASM или vulnerability management inventory.

Хороший критерий полезности — не количество найденных subdomains само по себе, а то, сколько из них оказываются реальными, принадлежащими организации, неизвестными текущему inventory и требующими действия. Например: забытый тестовый host, публичный admin panel, устаревший service, orphaned cloud endpoint или домен, который должен быть снят с эксплуатации.

Если pilot показывает высокий noise или много спорных links, BBOT лучше использовать как источник leads для triage, а не как authoritative inventory. Если же findings стабильно подтверждаются, инструмент можно встроить в регулярный recon workflow: scheduled scans, review новых assets, handoff в vulnerability management и ticketing для владельцев систем.

Что не стоит преувеличивать#

Публичные metadata репозитория не позволяют утверждать, что BBOT безопасен для любой environment, обеспечивает полное coverage, production-ready, stealthy, соответствует правилам каждой target или превосходит другие ASM tools. Они также не говорят, является ли конкретный module passive, active, noisy, rate-limited или подходящим для third-party target.

Это различие важно. Recon tooling может обращаться к systems, которыми вы не владеете. Он может генерировать traffic, вызывать alerts, нарушать program rules или создавать data, требующие аккуратного обращения. То, что инструмент open source, не снимает operational responsibility.

Описание репозитория также использует hacker-oriented language. Само по себе это не определяет acceptable use. Граница acceptable use зависит от authorization, scope, local law и contract terms.