Jsjaws Service

镜像概述和主要用途

Jsjaws Service 是 Assemblyline 框架下的一个服务，提供 JavaScript 执行的沙箱环境，用于***代码分析、反混淆和有效载荷提取。该服务集成多种开源工具，结合动态执行与静态分析能力，支持 JavaScript ***软件的自动化检测与分析。

核心功能和特性

多工具集成

该服务整合了六个开源项目的核心组件，提供全面的 JavaScript 分析能力：

Malware Jail：半自动化 JavaScript ***软件分析、反混淆及有效载荷提取沙箱。
Box.js：JavaScript ***软件研究专用沙箱工具。
JS-X-Ray：基于 SAST 扫描的静态分析工具。
Synchrony：针对使用 obfuscator.io 混淆的 JavaScript 的反混淆工具。
WScript Emulator：Windows Script Host (WSH) 功能模拟/跟踪工具，其库已集成到 MalwareJail 环境中。
GootLoaderAutoJsDecode：通过静态分析自动解码 Gootloader 文件的工具。

沙箱技术

动态执行基于 Node VM（Node.js 内置虚拟机）实现，Box.js 额外使用修改版 VM 工具 vm2 增强安全性。

签名机制

主要通过 signatures 文件夹中的签名规则对样本评分，支持对文件内容和沙箱输出结果进行扫描。
鼓励社区贡献签名规则：若发现可通过 MalwareJail 或 Box.js 输出检测的样本，可提交 PR 或共享样本以优化检测能力。

使用场景和适用范围

JavaScript 软件分析：检测嵌入在网页、文档或独立文件中的 JavaScript。
反混淆研究：处理经 obfuscator.io 等工具混淆的代码，还原原始逻辑。
静态与动态结合分析：支持纯静态分析（JS-X-Ray、Synchrony）或动态执行（MalwareJail、Box.js）模式，适应不同分析需求。
Assemblyline 框架集成：作为 Assemblyline 生态的一部分，用于大规模***代码自动化检测流水线。

详细配置说明

服务级参数（Service Parameters）

参数名	默认值	描述
allow_download_from_internet	false	是否允许从互联网下载资源（详见“互联网连接功能”部分）。
max_payloads_extracted	50	深度扫描关闭时，最大提取有效载荷文件数。
raise_malware_jail_exc	false	MalwareJail 工具出错时是否抛出明显异常（默认静默处理，继续其他工具输出）。
total_stdout_limit	***	分析工具输出的标准输出（stdout）行数限制。
send_tool_stderr_to_pipe	false	是否将工具的标准错误（stderr）重定向到管道（避免终端日志混乱）。
max_gauntlet_runs	30	“Gauntlet”工具最大运行次数（防止随机生成内容导致无限循环）。

提交级参数（Submission Parameters）

通用参数（Generic parameters）

参数名	描述
tool_timeout	MalwareJail 和 Box.js 的单个工具超时时间。
add_supplementary	是否在结果中添加补充文件。
static_signatures	是否对文件内容执行静态签名扫描（默认仅扫描动态执行输出）。
display_sig_marks	是否在结果中显示触发签名规则的代码行。
static_analysis_only	是否仅执行静态分析（JS-X-Ray、Synchrony），禁用动态执行（Box.js、MalwareJail）。
ignore_stdout_limit	是否忽略服务级参数 `total_stdout_limit`（设为"true"时忽略限制）。

Box.js 参数

参数名	描述
no_shell_error	Box.js 专用标志（功能未详细说明，按需启用）。

MalwareJail 参数

参数名	描述
browser	detonating 使用的浏览器类型。
wscript_only	是否仅在 WScript 环境中执行（默认在沙箱浏览器中执行）。
throw_http_exc	是否在每次网络调用时抛出错误（用于测试不同代码执行路径）。
download_payload	是否允许样本从互联网下载有效载荷。
extract_function_calls	是否提取函数调用相关文件（可能产生大量噪音，按需启用）。
extract_eval_calls	是否提取 eval 调用相关文件（可能产生大量噪音，按需启用）。
log_errors	是否在脚本异常捕获逻辑中插入异常日志（用于调试）。
override_eval	是否使用间接链接调用 `eval`（处理作用域变量时关键，详见 MDN 文档）。
file_always_exists	是否使 `Scripting.FileSystemObject.FileExists` 方法始终返回 true。

Synchrony 参数

参数名	描述
enable_synchrony	是否启用 Synchrony 反混淆（可能增加 Assemblyline 负载，仅在需要时启用）。

互联网连接功能

jQuery Fetching

部分样本会将代码嵌入标准 jQuery 库中。若服务容器具有互联网访问权限，可自动获取*** jQuery 库，对比样本文件差异并提取***代码。若无互联网访问，需在 service_manifest.yml 中将 docker_config 的 allow_internet_access 设为 False。

Assemblyline 系统安全列表

al_config/system_safelist.yaml 文件包含建议的安全列表项，可通过以下方式添加到 Assemblyline 系统安全列表：

直接复制到管理页面 https://<Assemblyline 实例>/admin/tag_safelist 的文本编辑器中。
通过 Assemblyline Client 工具添加。

镜像变体和标签

该镜像基于 Debian 11 + Python 3.11 的 Assemblyline 服务基础镜像构建，标签规则如下：

标签类型	描述	示例标签
latest	最新构建版本（可能不稳定）。	`latest`
build_type	构建类型：`dev`（最新不稳定版）、`stable`（最新稳定版）。	`stable` 或 `dev`
series	完整构建信息，格式：`版本.构建类型`。	`4.5.stable`、`4.5.1.dev3`

使用方法

作为独立容器本地测试

bash
docker run \
    --name Jsjaws \
    --env SERVICE_API_HOST=[***] addr show docker0 | grep "inet " | awk '{print $2}' | cut -f1 -d"/"):5003 \
    --network=host \
    cccs/assemblyline-service-jsjaws