Jsjaws Service

镜像概述和主要用途

Jsjaws Service 是 Assemblyline 框架下的一个服务，提供 JavaScript 执行的沙箱环境，用于恶意代码分析、反混淆和有效载荷提取。该服务集成多种开源工具，结合动态执行与静态分析能力，支持 JavaScript 恶意软件的自动化检测与分析。

核心功能和特性

多工具集成

该服务整合了六个开源项目的核心组件，提供全面的 JavaScript 分析能力：

• Malware Jail：半自动化 JavaScript 恶意软件分析、反混淆及有效载荷提取沙箱。
• Box.js：JavaScript 恶意软件研究专用沙箱工具。
• JS-X-Ray：基于 SAST 扫描的静态分析工具。
• Synchrony：针对使用 obfuscator.io 混淆的 JavaScript 的反混淆工具。
• WScript Emulator：Windows Script Host (WSH) 功能模拟/跟踪工具，其库已集成到 MalwareJail 环境中。
• GootLoaderAutoJsDecode：通过静态分析自动解码 Gootloader 文件的工具。

沙箱技术

• 动态执行基于 Node VM（Node.js 内置虚拟机）实现，Box.js 额外使用修改版 VM 工具 vm2 增强安全性。

签名机制

• 主要通过 signatures 文件夹中的签名规则对样本评分，支持对文件内容和沙箱输出结果进行扫描。
• 鼓励社区贡献签名规则：若发现可通过 MalwareJail 或 Box.js 输出检测的样本，可提交 PR 或共享样本以优化检测能力。

使用场景和适用范围

• JavaScript 恶意软件分析：检测嵌入在网页、文档或独立文件中的恶意 JavaScript。
• 反混淆研究：处理经 obfuscator.io 等工具混淆的代码，还原原始逻辑。
• 静态与动态结合分析：支持纯静态分析（JS-X-Ray、Synchrony）或动态执行（MalwareJail、Box.js）模式，适应不同分析需求。
• Assemblyline 框架集成：作为 Assemblyline 生态的一部分，用于大规模恶意代码自动化检测流水线。

详细配置说明

服务级参数（Service Parameters）

提交级参数（Submission Parameters）

通用参数（Generic parameters）

Box.js 参数

MalwareJail 参数

Synchrony 参数

互联网连接功能

jQuery Fetching

部分恶意样本会将恶意代码嵌入标准 jQuery 库中。若服务容器具有互联网访问权限，可自动获取官方 jQuery 库，对比样本文件差异并提取恶意代码。若无互联网访问，需在 service_manifest.yml 中将 docker_config 的 allow_internet_access 设为 False。

Assemblyline 系统安全列表

al_config/system_safelist.yaml 文件包含建议的安全列表项，可通过以下方式添加到 Assemblyline 系统安全列表：

• 直接复制到管理页面 https://<Assemblyline 实例>/admin/tag_safelist 的文本编辑器中。
• 通过 Assemblyline Client 工具添加。

镜像变体和标签

该镜像基于 Debian 11 + Python 3.11 的 Assemblyline 服务基础镜像 构建，标签规则如下：

使用方法

作为独立容器本地测试

docker run \
    --name Jsjaws \
    --env SERVICE_API_HOST=[***] addr show docker0 | grep "inet " | awk '{print $2}' | cut -f1 -d"/"):5003 \
    --network=host \
    cccs/assemblyline-service-jsjaws

集成到 Assemblyline 框架

该服务为 Assemblyline 原生服务，需作为框架一部分运行。添加到部署的步骤详见 官方指南。

参考文档

• Assemblyline 框架官方文档：[***]
• 服务源码及详细配置：GitHub 仓库